Ausweichen von Autoruns oder: Verlassen Sie sich aus Sicherheitsgründen nicht nur auf Autoruns

• Kategorie: Windows

Versuchen Sie Unser Instrument, Um Probleme Zu Beseitigen

Wählen Sie Das Betriebssystem Aus Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wählen Sie Ein Projektionsprogramm (Optional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beschreiben Sie Ihr Problem

Eine Antwort Bekommen

Senden Sie Mir Per E -Mail Auf Der Website Zeigen

Autoruns ist ein beliebtes Programm für Windows, mit dem alle verschiedenen Dateien, Programme und anderen Elemente analysiert werden können, die beim Systemstart ausgeführt werden.

Es ist wahrscheinlich das am häufigsten verwendete Tool für diesen Zweck und enthält viele nützliche Funktionen wie das Scannen von Dateien auf Virustotal, das Ausblenden von Microsoft-Einträgen oder die Verwaltung von Autorun-Dateien, um Elemente direkt im Programm zu deaktivieren oder zu löschen.

Ausweichen von Autoruns ist ein Forschungsbericht von Kyle Hanslovan und Chris Bisnett von Huntress, der mehrere Ausweichmethoden aufzeigt, mit denen böswillige Benutzer Aktivitäten auf dem Computer oder in einem Netzwerk verbergen können.

Die Forscher enthüllen mehrere Methoden, mit denen Angreifer ihre Aktivitäten verbergen können. Verschachtelte Befehle können beispielsweise verwendet werden, um mehrere Programme mit einem einzigen Startelement auszuführen. Diese Befehle, z. &&, & oder || Kombinieren Sie einen oder mehrere Befehle, indem Sie normalerweise nach einem legitimen Befehl einen böswilligen Befehl hinzufügen.

Eines der Probleme, die bei Autoruns auftreten, ist, dass viele Benutzer das Programm so konfiguriert haben, dass Microsoft-Einträge ausgeblendet werden, da sie von vielen als sicher angesehen werden. Das Problem ist, dass durch das Ausblenden von Microsoft-Einträgen diese Befehlskonstrukte ausgeblendet werden können.

Andere Techniken, die die Sicherheitsforscher beschreiben, sind:

• Shell32.dll Indirektion
• DLL-Hijacking
• SyncAppvPublishingService
• Service DLL Bug
• Fehler bei der Suche nach Erweiterungssuchen
• SIP-Entführung
• .INF Scriptlets

Die Forscher kommen zu dem Schluss, dass Autoruns ein großartiges Tool zum Auflisten von Startprogrammen und Dateien ist, aber kein Sicherheitstool.

Sie schlagen vor, dass Administratoren und Benutzer damit Daten aufzählen und die vom Tool gesammelten Daten auf andere Weise analysieren. Angreifer werden diese und komplexere Techniken verwenden, um der Erkennung in Autoruns zu entgehen.

In Bezug auf Dinge, die Sie tun können, um es Angreifern zu erschweren, etwas zu verbergen, ist Folgendes hilfreich:

1. Verstecken Sie keine Microsoft- und Windows-Einträge in Autoruns. Sie finden die Option unter Optionen> Microsoft-Einträge und -Optionen ausblenden> Windows-Einträge ausblenden. Dadurch werden mehr Daten angezeigt, es ist jedoch wichtig, diese unter Sicherheitsgesichtspunkten zu betrachten.
2. Aktivieren Sie die Optionen 'Codesignaturen überprüfen' und 'virustotal.com überprüfen' unter 'Optionen'> 'Scanoptionen'.
3. Überprüfen Sie alle cmd.exe-, pcalua- oder SyncAppvPublishingService-Einträge.
4. Gehen Sie alle Einträge durch und suchen Sie nach verschachtelten Befehlen (möglicherweise ist es einfacher, die Befehlszeilenoptionen zu verwenden, um alle aufzulisten und Suchoperationen zu verwenden, um die Liste durchzugehen).

Jetzt du : Wie zählt man Autorun-Elemente auf und überprüft sie? (über Deskmodder , Technet )